Все статьи

Вопросы и ответы Кадровые процедуры Кадровые документы Оплата труда / пособия Проверки Режим работы Персональные данные КЭДО Хранение и уничтожение документов Другие Другое

Передача персональных данных: обязанности и ответственность работодателя

14 мая

4974

Распечатать

Время прочтения 7 мин

Организации направляют сведения о сотрудниках в государственные органы, профсоюз, контрагентам. Поэтому у работодателей возникает много вопросов, как правильно передавать персональные данные, чтобы не получить штрафы за нарушения. Разбираем в статье, какие обязанности есть у работодателя при передаче персональных данных работников; как правильно организовать эту процедуру.

Содержание

Что значит передача персональных данных

Обязанности работодателя при передаче персональных данных работника

Передача персональных данных внутри организации

Передача персональных данных работника третьим лицам

Когда не нужно получать согласие работника на передачу персональных данных

Ответственность работодателя за нарушения при передаче персональных данных

Памятка «Действия работодателя до передачи персданных работника»

Перечень обязанностей организации по работе с персданными

Что значит передача персональных данных

Передача персональных данных – это одно из трех действий с личной информацией гражданина: распространение, предоставление, доступ. Это следует из ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Чем отличаются эти действия:

Доступ к персональным данным (ПД) – это возможность увидеть личную информацию и воспользоваться ей. Он есть, например, у кадровика и других сотрудников, которые работают с личной информацией сотрудников. Учитывайте, что в Законе №152-ФЗ понятие «доступ» не раскрыто.
Предоставление персональных данных (п. 6 ч. 1 ст. 3 Закона № 152-ФЗ) – раскрытие персональных данных определенному кругу лиц. В этом случае работодатель как оператор ПД обязан предупредить другую сторону о соблюдении конфиденциальности и праве использовать личную информацию работника только в тех целях, в которых ее сообщили. Например, к предоставлению ПД относится передача списков сокращаемых сотрудников в профсоюз.
Распространение персональных данных (п. 5 ч. 1 ст. 3 Закона №152-ФЗ) – раскрытие личной информации работника неопределенному кругу лиц. К примеру, работодатель опубликовал на своем сайте список сотрудников, с указанием должности и мобильного телефона.

При раскрытии персональных данных неопределенному кругу лиц оператор ПД фактически утрачивает контроль за конфиденциальностью, и это может нарушать права работников. Поэтому на распространение ПД обязательно оформляется отдельное письменное согласие субъекта (ст. 10.1 Закона № 152-ФЗ).

О том, как это сделать, читайте в статье на сайте.

Обратите внимание! Частный случай передачи персональных данных – это трансграничная передача ПД. На эту тему у нас есть отдельные разъяснения. Читайте на сайте: Трансграничная передача персональных данных по новым требованиям.

Обязанности работодателя при передаче персональных данных работника

В ст. 88 ТК РФ перечислены основные требования, которые надо соблюдать при распространении, предоставлении или доступе к личной информации сотрудников. Например:

не сообщать персональные данные работников третьим лицам без письменного согласия, за исключением законодательно установленных случаев;
разрешать доступ к личной информации сотрудников только специально назначенным лицам и только в том объеме, который им нужен для работы;
передавать ПД внутри организации в порядке, установленном локальным нормативным актом и пр.

Список в ст. 88 ТК РФ содержит всего семь требований, но некоторые работодатели продолжают их нарушать.

Рассмотрим, что нужно сделать работодателю, чтобы не нарушить требования Трудового кодекса и Закона № 152-ФЗ.

Пример

В феврале 2021 года ИП вынесли предупреждение по ч. 2 ст. 13.11 КоАП РФ за отсутствие локального нормативного акта, который регламентирует порядок обработки персональных данных работников, в том числе без их письменного согласия (Постановление мирового судьи судебного участка №12 в границах административно-территориального образования «Палкинский район» Псковской области по делу № 5-26/2021 от 26 февраля 2021 года).

Передача персональных данных внутри организации

Работодатель обязан разработать локальный нормативный акт, в котором определить правила перемещения ПД между структурными подразделениями. Также он должен ограничить доступ сотрудников к персональным данным внутри организации по принципу «Каждый получает только тот объем данных, который нужен для работы».

На практике же нередки ситуации, когда кадровик или бухгалтер просит сотрудника другого подразделения «передать по пути документы в приемную». Или отдает расчетные листки по зарплате одному работнику, чтобы тот разнес их по соседним отделам и службам. Это примеры нарушений при работе с персональными данными работников.

Какие еще ошибки чаще всего допускают работодатели:

ИП не разрабатывают локальный нормативный акт с порядком обработки персональных данных, ошибочно трактуя освобождение от разработки ЛНА по ст. 309.2 ТК РФ;
компании «забывают» установить правила работы с ПД соискателей на должности, клиентов, представителей подрядчика;
работодатели не назначают ответственного за организацию обработки персональных данных и не проводят внутренние аудиты в этой сфере.

Что нужно сделать работодателю до передачи персональных данных внутри организации

Назначить приказом сотрудника, ответственного за организацию работ с персональными данными (п. 1 ч. 1 ст. 18.1 Закона №152-ФЗ, ст. 88 ТК РФ). Внести соответствующие изменения в его должностную инструкцию или трудовой договор. Включить в обязанности сотрудника разработку локальных актов в сфере обработки персональных данных и контроль их выполнения другими работниками.
Издать локальный нормативный акт, например, положение о порядке обработки персональных данных работников. В нем подробно прописать цели, объем и категории ПД для каждого случая обработки; порядок передачи ПД между структурными подразделениями.
Приказом определить должности работников, которые могут иметь доступ к персональным данным. Для каждой из них установить перечень разрешенных к обработке ПД.
Ознакомить работников под подпись с локальным нормативным актом и приказом.

Передача персональных данных работника третьим лицам

Работодатель может предоставлять сведения о работнике:

в ФНС, СФР, Центр занятости и другие ведомства, госучреждения;
в медицинские организации;
в головную компанию, если компания ‒ работодатель входит в холдинговую структуру;
представителям заказчиков или подрядчиков.

Часто небольшие компании отдают на аутсорсинг ведение бухгалтерии, кадровое делопроизводство, охрану труда и обслуживание электроустановок. Эти процессы также сопровождаются передачей персональных данных работников третьим лицам.

Риск утечки личной информации в таких ситуациях возрастает. Действует правило: «Для передачи персональных данных третьим лицам всегда нужно согласие работника, если иное не установлено в законе».

Какие нарушения допускают работодатели:

не получают согласие сотрудника на использование информации о нем в коммерческих целях – например, в рекламных материалах, корпоративных справочниках;
не считают передачей третьим лицам обмен информацией с другими компаниями холдинга;
дают клиентам номера мобильных телефонов сотрудников без их согласия;
не получают согласие при передаче ПД в бухгалтерию на аутсорсе.

Что нужно сделать работодателю до передачи персональных данных третьим лицам

Определить перечень ситуаций, когда согласие работника на передачу ПД не требуется по закону. Например, это предоставление сведений в СФР, ФНС, прокуратуру и т.п. Ознакомить с этим списком сотрудников для предотвращения непреднамеренной утечки ПД.
Если данные работников передаются в рамках исполнениях договора с другой организацией, например, с аутсорсером, то обязательно включить в договор поручение оператора. Требования к его содержанию приведены в ч. 3 ст. 6 Закона № 152-ФЗ.
Если данные передаются без договора, например, по запросу от другой организации, то подписать с ней соглашение о конфиденциальности. Второй вариант – запросить гарантийное письмо о соблюдении режима конфиденциальности. Документ также должен содержать цели обработки ПД.
В случаях, указанных в пунктах 2 и 3, обязательно получить от работника письменное согласие на передачу его личной информации третьим лицам по форме в ч. 4 ст. 9 Закона № 152-ФЗ.

Когда не нужно получать согласие работника на передачу персональных данных

Основания для обработки ПД без согласия приведены в п. 2-11 ч. 1 ст. 6 Закона № 152-ФЗ. Но на практике встречаются различные толкования этого списка.

Чтобы избежать нарушений, руководствуйтесь разъяснениями Роструда и Роскомнадзора. Приведем примеры из них, когда не нужно получать согласие работника на передачу его персональных данных.

Обязанность размещать ПД сотрудников в Интернете установлена законодательно. Пример: медицинская организация публикует на сайте сведения об уровне образования и квалификации медработников.

Работодатель передает ПД третьим лицам для предотвращения угрозы жизни и здоровью работника, или в предусмотренных законом случаях. Например, передача сведений:

в налоговую инспекцию, СФР;
прокуратуру;
трудовую инспекцию;
судебным приставам-исполнителям;
военкомат;
профсоюз;
полицию;
по запросу Банка России;
в негосударственный пенсионный фонд;
экспертной организации, проводящей СОУТ.

Передача данных связана с выполнением служебных обязанностей. Примеры: работодатель бронирует работнику гостиницу и покупает билеты при направлении в командировку. Не нужно получать согласие для передачи ПД сотрудника в тревел-агентства или в отель.

Важно! Передача данных работника в банк для открытия зарплатного счета без согласия возможна в трех случаях: такая форма и система оплаты труда предусмотрена коллективным договором; работник напрямую заключил договор на выпуск банковской карты, и в документе есть условие о получении ПД от работодателя; у работодателя есть соответствующая доверенность от сотрудника на выпуск карты. В иных случаях нельзя отправлять в кредитные организации сведения о работнике без его согласия.